Простота. Хуже воровства?

В данной статье рассматриваются мифы и реальность касательно простейших (с точки зрения затрат, реализации и осознания) подходов к защите информации в существующих условиях.

Ни для кого не секрет, что обеспечение безопасности считается достаточно "паразитической" деятельностью для бизнеса. Психология топ-менеджмента строится таким образом, что затраты на предотвращение каких-либо событий представляются неоправданными, так как не дают результата. Знаменитый афоризм "связь - как воздух" применим тут в наиболее полной мере. Однако, специалисты по ИТ и безопасности часто отмечают, что затраты на высокотехнологичные решения действительно оправдывают себя лишь отчасти, в то время как более простые и действительно эффективные методы защиты либо забываются, либо считаются "драконовскими" и не применяются "из этических соображений". Далее разбирается ряд наиболее часто вспоминаемых в этой связи простейших подходов к информационной безопасности, чтобы понять, что из этого действительно достойно применения, а что - не более, чем легенда.

Физическое блокирование USB-устройств

USB-устройства являются самым неоднозначным достижением современных технологий с точки зрения безопасности. С одной стороны - быстрый и простой протокол обмена данных, относительно низкая стоимость устройства и отсутствие специфических требований к системно-программной части. С другой - отсутствие встроенных возможностей избирательного контроля устройств и избирательного контроля точек входа в АРМе. Таким образом, USB-устройство может нести в себе сразу целый комплекс угроз для организации, таких как:

• быть источником вредоносного и шпионского ПО;
• быть утерянным, будучи носителем защищаемой информации ограниченного доступа;
• быть утерянным, будучи единственным носителем защищаемой информации;
• использоваться в качестве носителя при совершении инсайдерских хищений (быть элементом скрытых информационных потоков);
• и т. д.

Вполне закономерно, что проанализировав такое количество угроз, идущих от данного типа устройств, специалисты пришли к выводу, что безопаснее и удобнее будет отключить USB-шину в ПЭВМ, заблокировав таким образом взаимодействие с USB. Многие сотрудники СБ в организациях считают этот способ до сих самым эффективным для обеспечения безопасности, и применяют его, несмотря на воинствующие крики ИТ-специалистов и функциональных сотрудников. Однако, стоит ли это делать? Проанализируем ряд факторов.

• многие внешние устройства используют USB-интерфейс для подключения к ПЭВМ. Без многих подобных устройств работы с ПЭВМ становится затруднительной (USB-мышь, клавиатуры, веб-камера, микрофон и т. д.). Устройств, использующих "старые" интерфейсы (COM, PS/2, LPT), практически не осталось, или найти их сложнее, чем остальные;
• многие средства защиты используют USB-носители в качестве элементов. USB-ключи для криптосредств, USB-токены - все это не совсем обычные USB-устройства, которые нельзя использовать для скрытого хищения данных или заражения ПЭВМ вредоносной программой, однако, если заблокировать USB, то их применение будет невозможно, так как возможностей фильтровать USB-устройства или избирательно блокировать USB-порты ПЭВМ в широком доступе либо не существует, либо их реализация не оправдана с точки зрения эффективности;
• на ПЭВМ многих типов просто физически не осталось других интерфейсов для взаимодействия с "внешним миром". Если заблокировать USB, единственным каналом остается ЛВС. Ее, конечно, контролировать проще, однако, это серьезный удар по производительности функциональных сотрудников.

Таким образом, полное физическое блокирование USB-устройств дает проблем гораздо больше, чем выгод от повышения уровня безопасности. Иными словами, затраты (в данном случае - в виде снижения результативности и эффективности деятельности функциональных сотрудников) на систему защиты не соответствуют перекрываемому ущербу.

В результате, данный метод является едва ли не самым проблемным и неэффективным для защиты от угроз. Его стоит применять только в исключительных случаях, в качестве "финального мазка" для создания системы защиты с полным перекрытием (пример есть далее по тексту). А в подавляющем большинстве случаев, применение этого метода неоправданно. В отдельных случаях целесообразнее рассмотреть различные методы защиты USB-устройств, рассматриваемые в решениях, например, тут.

Исключение рисков через физическое сегментирование информационной системы

Под таким подозрительно сложным для "простейшего" метода названием скрывается группа мероприятий по разделению сетей организации и физическому "отрезанию" сегментов от источников угроз. Например, выделение отдельного ПЭВМ (или сети ПЭВМ) , имеющего подключение к Интернету без взаимодействия с остальными ПЭВМ (специализированные ПЭВМ для доступа к информации в Интернете, например, справочные и т. п.), или выделение отдельной сети разработчиков, работающих с информацией особого уровня доступа, без взаимодействия с остальной сетью организации.

Физическое сегментирование сети организации - не самый популярный метод. Эта непопулярность обусловлена в первую очередь тем, что гораздо более простым методом является объединение всех ПЭВМ организации в единую ЛВС с дальнейшим развертыванием сетевой инфраструктуры (например, рабочей группы или централизованного домена) и реализации защитных мероприятий по разграничению доступа и сегментированию логическими и программными средствами. Плюс, как правило, исторически ЛВС организации расширяется итеративным методом, поэтому раннее проектирование не срабатывает в большинстве случаев, а заниматься перекоммутацией в дальнейшем никому не хочется.

Между тем, заняться бы стоило. Практика показывает, что логические средства, несмотря на сертификаты ФСТЭК, гарантии разработчика и прочие плюсы, могут давать промашку, а также могут быть просто выключены пользователем или сброшены системой в результате ошибки. Ясно, что все эти события будут в дальнейшем обнаружены в качестве инцидентов, и, при должной скорости реакции группы CERT, будут разрешены без ущерба, однако, иногда лучше перестраховаться. К примеру, отключение производственной ЛВС от Интернета и выделение одного-двух ПЭВМ в качестве "справочных" для доступа в глобальную сеть может быть вполне оправдано. В действительности, редким функциональным специалистам требуется доступ в Интернет непосредственно с рабочего места, как правило, им необходимо получить какую-то справочную информацию. А выделение отдельной ЛВС для сотрудников, взаимодействующих с информацией особого уровня доступа, и физическое отделение ее от остальной ЛВС организации может быть оправдано в первую очередь с точки зрения защиты от инсайдерских утечек. Как правило, в таких ситуациях следуют аргументы, мол, все можно запомнить и "унести в голове", однако, согласитесь, что сложно "унести в голове" распиновку микроконтроллера или производственную схему.

Фактически, у данного подхода есть только два явных недостатка:

• его категорически нельзя применять к ПЭВМ, которым необходимо иметь доступ в отделяемые сети в режиме реального времени. Например, заставить программиста, работающего с секретной информацией, время от времени бегать к "справочному" компьютеру, чтобы залезть в Гугл, можно без потерь производительности, а вот заставить то же самое делать банковского кредитного специалиста или менеджера турфирмы получится вряд ли;
• он не перекрывает ряд угроз и требует применения дополнительных методов. Например, никто не мешает сотруднику, работающему на ПЭВМ, находящемся в физически изолированной ЛВС без доступа в Интернет, скопировать свою работу на флешку и унести ее на ПЭВМ с доступом в Интернет. В таком случае для полного перекрытия следует применять этот метод в совокупности с предыдущим. Организация, конечно, будет иметь некоторые проблемы из числа тех, что обозначены в факторах, препятствующих отключению USB, но, согласитесь, что найти PS/2-мыши и другие не-USB-внешние устройства на некоторые ПЭВМ, работающие с информацией особого уровня доступа, проще, чем на все ПЭВМ в организации.

Из всех рассматриваемых в настоящей статье методов, данный метод является наиболее действенным и рекомендуется к применению.

Использование собственных подсистем ИБ системного и прикладного ПО, применяемых в защищаемых информационных системах

В 2009 году автору довелось побывать в рамках конференции по ИБ на пленарном заседании, посвященном самому животрепещущему вопросу ИБ последних лет - защите персональных данных. Незаметно, словно зима в декабре, к операторам персональных данных подкрался срок (тогда - первый) начала проверок соответствия ИСПДн требованиям, и те всполошились, увидев, что им предстоит проделать не только серьезную аналитическую и архитектурную работу, но и вложить немало средств в применение систем защиты информации. Тогда представители регуляторов, присутствующие на заседании, предложили минимизировать затраты путем реализации некоторых требований через использование встроенных подсистем ИБ различного ПО, которое уже используется в рассматриваемых ИСПДн. Речь, конечно, шла об операционных системах семейства Windows и сопутствующих продуктах корпорации Microsoft, которые так кстати на тот момент прошли сертификацию на соответствие требованиям по НСД и НДВ в ФСБ и ФСТЭК и оказались пригодны к использованию в ИСПДн.

Собственно, с тех пор прошло три года. За это время Microsoft даже выложил на своем сайте целое руководство, в котором красочно описал, как собственными силами можно покрыть большую часть требований к подсистемам управления доступом, регистрации и учета, а также обеспечения целостности в ИСПДн вплоть до класса К1. Фактически, ничего сверхъестественного в данных требованиях действительно нет, большинство многопользовательских систем реализуют их с избытком. На самом деле, применение средств защиты, реализованных через штатные функции операционных систем, серверов приложений и иных системных и прикладных программных средств, действительно возможно и может существенно упростить развертывание защиты, соответствующей требованиям (например, требованиям к АС, изложенным в соответствующем руководящем документе Гостехкомиссии/ФСТЭК). Но существует одно НО.

Сертификация. Под сертификацией понимается процесс подтверждения оценки соответствия объекта требованиям, предъявляемым к нему. Сертификация является процессом, инициируемым производителем объекта, выполняемым соответствующим органом по сертификации и периодически подтверждаемым. Так вот. Закрытие требований безопасности штатными средствами возможно только в случае, если применяются сертифицированные версии ОС, серверов и т. д. Самостоятельно Microsoft в России сертификацию не осуществляет, за него это делали некоторые распространители. И только системы, приобретенные у этих распространителей (которых можно пересчитать по пальцам) являются сертифицированными и годными к применению в качестве СЗИ. Поскольку на сертифицированную версию той же ОС Windows было потрачено больше средств, чем на обычную (распространитель сдал репрезентативную выборку из партии на анализ в испытательную лабораторию и оплатил услуги по сертификации), то и стоят они дороже. Вероятность, что те ОС, которые используются в данный момент в защищаемой информационной системе, пусть даже они являются лицензионными и купленными у официального распространителя, будут сертифицированными очень мала. С любителями СПО вообще все грустно. Коробочные версии систем на базе Linux, сертифицированные ФСТЭК, также существуют, однако их применение полностью нейтрализует все "плюсы", которые есть этих операционных системах, такие как открытость кода, возможность изменений и бесплатность.
Поэтому данный подход может быть применен только в случае проектирования новой информационной системы и наличия правильного поставщика программных средств. В иных случаях действует один из законов ИБ, согласно которому иногда правильнее будет добавить к неэффективному СЗИ еще одно, наложенное, вместо того, чтобы удалять его и заменять на аналогичное, эффективное.

Вывод

Стоит отметить, что несмотря на общее впечатления, все вышеописанные методы могут применяться, с учетом всех приведенных в данной статье недостатков, проблем и рисков.

В целом даже рекомендуемые к применению методы следует применять по итогам адекватного и аргументированного анализа, в совокупности с другими, имеющимися средствами защиты. Применение данных, "простейших" методов призвано не полностью заменить собой специализированные СЗИ и подходы к защите, а упростить их применение, снизить затраты на их использование и сделать деятельность более безопасной без потери эффективности.

Антивирусные войны

Не так давно здесь была опубликована агрегированная статистика рынка антивирусных средств в России. Согласно этой статистике, в последние два года два производителя - ESET и "Лаборатория Касперского" - вышли на наиболее высокий уровень продаж, обеспечив себя фактически самые высокие доли рынка, остальные производители сильно сдали позиции.
Справедливость данной статистики, конечно, вызывает ряд вопросов. Прежде всего, графики всегда выглядят красиво и эффектно, пока не прочитаешь их заголовки. А заголовок следующий: "Изменения доле ключевых игроков на антивирусном рынке России в 2005-2011 годах". То есть перед нами статистика продаж. И, если продажи специализированных средств защиты информации, таких как СЗИ от НСД, есть объективный показатель выбора специалистов (закупки СЗИ, все-таки, время от времени контролируются уполномоченными сотрудниками подразделений безопасности), то продажи такого массового средства, как антивирус - это показатель работы маркетологов.
Антивирусные системы сами по себе - предмет споров среди специалистов. Настойчивые "легенды" о бесполезности таких средств против 0day-вирусов и нетипичных атак заставляют специалистов отказываться от них, заменяя их функционал межсетевыми экранами и системами обнаружения вторжений. При этом, если применение антивирусных средств в организациях, как правило, является результатом комплексной политики, то домашние пользователи, составляющие от 40% рынка, выбирают по совершенно иным принципам, далеко не самым объективным и адекватным.
Поэтому воспринимать данную статистику стоит исключительно в контексте работы маркетологов и PR-специалистов.

"Пода-а-а-айте жалобную книгу" или еще раз о требованиях к ИСПДн

В очередной раз столкнувшись с фактическими требованиями законодательства по защите ИСПДн, автор не смог сдержаться и провел небольшой экспресс-анализ, чтобы продемонстрировать несоответствие желаемого и действительного в современной науке защиты информации на уровне оценки соответствия в России. Иными словами, есть возможность еще раз взглянуть на источники разночтений и заблуждений в таком благодатном в современной России деле, как защита персональных данных.

Немного истории новейшего времени

Речь сегодня пойдет о методах и способах обеспечения безопасности персональных данных при их обработке в ИСПДн. Слово "требования" старательно избегается, и вот почему. Как известно, изначально нормативная база по защите персональных данных состояла из следующих документов:

• Собственно, сам закон "О персональных данных";
• Положение о защите персональных данных в ИСПДн;
• "Приказ трех", он же порядок классификации ИСПДн (где вводятся знаменитые и до конца не понятые до сих пор понятия "типовой" и "специальной" ИСПДн);
• Знаменитое "четырехкнижье", которое являлось документом с грифом "ДСП", и выдавалось только лицензиатам ФСТЭК для организации работ по обеспечению информационной безопасности.

Стоит отметить специфический характер данных документов. Если первые три прошли утверждение в МинЮсте и формально были приняты в качестве легитимных документов, имеющих юридическую силу в правовом поле (например, при рассмотрении дел в суде), то "четырехкнижье" такое утверждение не прошли. Особо въедливые специалисты поспешили окрестить эти документы "необязательными и вообще незаконными", хотя сомнений в добровольно-принудительном характере "рекомендаций" регуляторов вопросов ни у кого не возникало. Впоследствии "четырехкнижье" было частично отменено, остались только Базовая модель угроз и Методика определения актуальных угроз, с которых был снят гриф "ДСП", а вместо Рекомендаций было введено знаменитое "Положение о методах и способах защиты...", известное в среде специалистов как Приказ №58. Стоит заметить, что данный документ был зарегистрирован в МинЮсте, что отмело в дальнейшем все вопросы к его правоприменимости. Данный документ включил в себя большую часть положений предыдущих документов ФСТЭК и ФСБ по защите ПДн, поэтому формально ничего нового не произошло. На самом же деле произошло следующее.
Изначально ИСПДн целиком и полностью позиционировалась как АС. Классификация ИСПДн и классификация АС, границы которой совпадают с границами ИСПДн, - два самостоятельных (хоть и взаимосвязанных) мероприятия, а требования по защите к ИСПДн совпадают с требования к АС. Требования к АС, если кто забыл, находятся в руководящем документе ГТК "Автоматизированные системы. Защита от НСД. Классификация АС и требования по защите информации". Требования по защите информации к АС являются именно требованиями, то есть обязательны для выполнения в защищаемых АС и оцениваются при аттестации. Тут кроется еще одна "красивая легенда" защиты персональны данных - аттестация. Аттестации ИСПДн в природе никогда не существовало, а существовал и существует аттестация АС. Для ИСПДн классов К1 и К2 аттестация АС была обязательной. Требования, опять же, определялись актом классификации АС, тогда как классификация ИСПДн была призвана не столько определить требования по защите (вернее, не только это), сколько определить характеристики ИСПДн через понятные интуитивно категории, позволяющие явно указать, кому, когда и сколько чего грозит, в случае нарушений и реализации рисков.
С введением приказа №58 стало очевидно, что защита ИСПДн пошла своим, если можно так сказать, уникальным путем развития. Фактически, состоялся переход от системы оценки соответствия (как это называлось на западе - комплаенса) к системе защиты с полным перекрытием, то есть защиты была не в соответствии каким-то ранее установленным характеристикам (впрочем, весьма правдивым в большинстве случаев), а в соответствии с требованиями ситуации (фактически, ранний риск-менеджмент). Требования к АС по прежнему составляют основу для защиты ИСПДн соответствующего класса. Однако, следуя формулировки нового нормативного документа, он предоставляет не обязательный к реализации набором требований к ИСПДн различных классов, а комплекс мер, судя по всему, достаточных для защиты этих ИСПДн. В документе нет ни слова об обязательности этих комплексов, а само понятие "требования" тщательно вычищено из него и заменено на политкорректное "методы и способы защиты..", предполагая, что этим можно воспользоваться, а вот нужно ли - решать вроде как вам.
Со своей точки зрения автор хочет напомнить, что данная формулировка создает обманчивую иллюзию возможности трактовать этот документ как набор рекомендаций. При этом не стоит забывать, что обязательность рекомендаций высших регуляторов никогда не была под сомнением. Если даже Стандарт Банка России, являясь необязательным просто по факту своего происхождения (обязательность применения ГОСТов была отменена в 2004 году), является фактически обязательным для финансовых и кредитных организаций в зоне ответственности этого самого Банка, то что говорить о "рекомендация" регулятора, гораздо более властного, чем ЦБ РФ?

Проблемы и несоответствия

Следует отметить, что с вводом приказа №58 и применением его в качестве авторитетного источника фактических требований к ИСПДн различных классов, выявился ряд проблем, большинство из которых не решено до сих пор, или имеет исключительно локальное решение, основанное на опыте наиболее крупного интегратора или авторитетного регулятора. Далее приводятся некоторые наиболее явные несоответствия с практикой и "объективной реальностью".

1. "Отмена" аттестации
   Факт отмены был зафиксирован исключительно через отсутствие соответствующего требования в составе документа. Действительно, регуляторы и крупные интеграторы признают, что необходимость аттестации АС для ИСПДн больше не регламентируется. Однако, былинный документ ГТК "Специальные требования и рекомендации по технической защите конфиденциальной информации", известный больше как СТР-К, вполне явно говорит в статье 2.17, что "объекты информатизации должны быть аттестованы на соответствие требованиям по защите информации...". Согласно Положению об аттестации, на основе которого до сих пор и осуществляется эта пресловутая оценка соответствия, под объектом информатизации в том числе понимается АС. Если сложить это с тем фактом, что СТР-К обязателен для применения в государственных учреждениях, становится понятно, почему подавляющее большинство государственных заказчиков считают аттестацию по прежнему обязательным "знаком соответствия" разрабатываемых систем. ФСТЭК с ними вполне соглашается.
2. Требования к антивирусной защите, системе обнаружения вторжений и анализу защищенности
   Данные системы защиты от НСД начисто отсутствуют в РД 1992 года, поэтому их использование - исключительная прерогатива ИСПДн. Большинством специалистов применение этих систем считается обязательным. Логика этого, впрочем, понятна. Необходимость развертывания этих систем, это как минимум - дополнительный "кусок хлеба". Однако, приказ №58 дает весьма расплывчатые объяснения по этому поводу.
   Применение антивирусной защиты регламентируется пунктом 2.3 приказа, гласящим, что "в информационных системах, имеющих подключение к информационно-телекоммуникационным сетям международного информационного обмена..., или при функционировании которых предусмотрено использование съемных носителей информации, используются средства антивирусной защиты". Хотя формулировка "используются" наводит на мысль, что это не совсем то же самое, что "необходимо использовать" или "требуется использование", с этой подсистемой вопросов возникает меньше всего.
   Применение системы обнаружения вторжений и систем анализа защищенности регламентируется пунктом 2.4 приказа, где сказано: "при взаимодействии информационных систем с информационно-телекоммуникационными сетями международного обмена...методами и способами защиты информации от несанкционированного доступа являются: ...-обнаружение вторжений в информационную систему... - анализа защищенности информационных систем...". В целом, претензии к формулировке в части обязательности те же, что и раньше, но появляется новая проблема - пункт 2.2. того же приказа гласит: "...методы и способы защиты информации от несанкционированного доступа...в зависимости от класса информационной системы определяются оператором (уполномоченным лицом) в соответствии с приложением к настоящему Положению". А в приложении расписаны требования к основным подсистемам ИБ для каждого класса в пунктах 2-4. Об этих системах - ни слова. Все становится более-менее ясно в пунктах 5 и 6, где упоминаются эти две системы. Однако, структура документа и непрозрачные формулировки опять не дают понять, к чему именно и насколько необходимо применять эти средства защиты.
3. Формулировка требований к ИСПДн в зависимости от класса и характеристик, заданных оператором (типовые и специальные ИСПДн)
   Вдаваться в воспоминания "трехголового" приказа нет смысла, стоит лишь отметить, что он сформулирован таким образом, что классы К1-К4 применяются ко всем ИСПДн, однако признаки классификации есть в явном виде только для типовых ИСПДн. Эту проблему до сих (то есть до ввода положения об уровнях защищенности, которое уничтожит старую систему классификации) пытаются решить технические специалисты. Большинство приняло позицию, что для специальных ИСПДн класс определяется на основе модели угроз в соответствии с вербальным описанием класса, данным в пункте 14 этого приказа (там  же, где употребляется противоречивая формулировка "По результатам анализа исходных данных типовой информационной системе присваивается один из следующих классов), тем более, что на основе этих классов определяются требования к защите. Согласно пункту 15 "приказа Трех", класс специальной ИСПДн определяется на основе актуальных угроз безопасности. То есть фактически, для типовой ИСПДн для классификации достаточно классификационных признаков, а для специальной необходим перечень актуальных угроз. Однако, некоторые специалисты, по мнению автора, путают причину и следствие.
   Данный пример автором был почерпнут при анализе околотехнической брошюры одного известного российского производителя средств защиты. В ней говорится, что для ИСПДн К1 и К2 применение АПМДЗ является обязательным на основе существования актуальной угрозы загрузки с внешнего носителя. Авторы брошюры, то есть производители АПМДЗ, рассматривают необходимость применения средства защиты для защиты от актуальной угрозы, что совершенно верно. Однако, они утверждают, что актуальность угрозы определяется классом ИСПДн. Так, например "в системах К1 все оцениваемые угрозы являются актуальными по причине высокого уровня показателя опасности...". Эта фраза справедлива отчасти, однако, согласно документации, определить, является ли система К1 или нет, возможно только после определения актуальных угроз. А значит, могут быть угроз, неактуальные даже с учетом класса системы К1.
   Следует отметить, что угроза загрузки с внешнего носителя (приведенная в документе "Базовая модель угроз..." для ИСПДн практически каждого из возможных типов) будет актуальна в большинстве случаев, это объективный факт. На основе результата анализа угроз будет принято вполне закономерное решение нейтрализовать эту угрозу применением АПМДЗ, о чем и говорят авторы брошюры. Однако, нейтрализация актуальных угроз, согласно действующим нормативным документам, применяется настолько гибко только в отношении специальных ИСПДн, где определяющим является модель угроз, а не требования к классу из приказа №58. Если рассматриваемая ИСПДн - типовая, то применяются "методы и способы", описанные в приказе №58, а там про те же АПМДЗ - ни слова.

Вывод

На самом деле, стоит сказать, что подходы к защите ИСПДн разных типов, классов и характеристик определяются на сегодняшний момент скорее практикой, чем нормативными документами. Однако, такое состояние нормативных документов дает слишком большую свободу для толкований, которая недопустима в условиях текущего законодательства и осознанности гражданами (субъектами ПДн) и организациями (операторами ПДн) важности этого процесса.

Смещение приоритетов защиты информации. Часть 1. Теоретическая

В рамках данной серии статей автор хотел бы обсудить некоторые современные тенденции отечественной науки информационной безопасности, а также вопросы, возникающие на современном этапе развития информационных систем.

Целевые свойства безопасности информации

Согласно классической концепции обеспечения безопасности информации, информация имеет три свойства, которые определяются в качестве целевых. Это всем известные конфиденциальность, целостность и доступность.
________

Конфиденциальность, конфиденциальность информации, конфиденциальность ресурсов, конфиденциальность ресурсов АС – состояние информации (ресурсов, ресурсов АС), при котором доступ к ней (к ним) осуществляют только объекты, имеющие на это право [Р.50.1.053-2005 «Информационные технологии. Основные термины и определения в области технической защиты информации»].

Конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя [Федеральный закон от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и защите информации»]

Целостность, целостность информации, целостность ресурсов, целостность ресурсов АС – состояние информации (ресурсов, ресурсов АС), при котором ее (их) изменение осуществляется только преднамеренно субъектами, имеющими на него право [Р.50.1.053-2005 «Информационные технологии. Основные термины и определения в области технической защиты информации»].

Целостность – способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения) [РД ГТК РФ «Защита от несанкционированного доступа к информации. Термины и определения»].

Доступность, доступность информации, доступность ресурсов, доступность ресурсов АС – состояние информации (ресурсов, ресурсов АС), при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно [Р.50.1.053-2005 «Информационные технологии. Основные термины и определения в области технической защиты информации»].
________

В мировоззрении подавляющего большинства обывателей, а также достаточно большого числа ИТ-специалистов, защита информации прочно ассоциируется с обеспечением ее конфиденциальности. Причину данного явления понять несложно. Исторически, основной задачей того, что мы сейчас называем защитой информационных технологий (как совокупности методов и средств обработки информации в любом доступном виде) являлось не построение каких-либо систем высокой надежности и не подтверждение личности автора и неизменности информационного сообщения, а «строго хранить государственную и военную тайны». Собственно, с годами существенных изменений в этом направлении не произошло. Федеральная служба безопасности РФ, считающаяся отчего-то основным органом, регулирующим информационную безопасность в России, являясь правопреемницей Комитета госбезопасности, занимается исключительно аспектом обеспечения конфиденциальности информации в информационных системах (ИС) посредством ее шифрования (криптографического преобразования, строго говоря, но в данном контексте это одно и то же).

Такая ситуация привела к тому, что даже от специалиста в области высоких технологий, в ответ на вопрос «Как защитить, скажем, базу данных», можно услышать бодрое и безапелляционное: «Шифровать!». Такое восприятие частично как формируется, так и формирует подход заказчиков к разработке «защищенных» систем, где основным средство защиты является внедрение функций шифрования всего и вся. Что в свою очередь ведет не только к повышению затрат на саму защиту, но и, - что гораздо опаснее, - к формированию ложного чувства защищенности, выражаясь техническим языком, неосознанному принятию недопустимых рисков.

Следует отметить, что правильным ответом на вопрос, поставленный выше («Как защитить базу данных») является встречный вопрос: «От чего?». Так начинается реально продуктивный диалог, итогом которого будет как минимум осознание необходимых мер и средств защиты информации от всего комплекса угроз, способных нарушить ее основные свойства.

Развитие обеспечения безопасности информации на рубеже ХХ-ХХI веков

Вопросы технической защиты информации в России и в мире развивались не то, чтобы совсем самостоятельно, но практически не связано друг с другом. Долгое время мировой уровень информатизации существенно превышал аналогичный «показатель» по нашей стране, в результате, после падения «железного занавеса» и осознания необходимости развития информационной отрасли, была проделана колоссальная работа по стандартизации, плоды которой используются до сих пор. Следует отметить, что данный факт нельзя назвать целиком положительным, так как руководящие документы Гостехкомиссии (ныне – Федеральной службы технического и экспортного контроля) и государственные стандарты (ставшие необязательными), разработанные в начале 90-х годов, не учитывают массу решений, разработок, подходов и других достижений последнего времени, вследствие чего их применение носит скорее формальных характер, и зачастую затрудняет деятельность, чем способствует ее безопасности. В качестве примера можно рассмотреть знаменитое «Положение об аттестации объекта информатизации», которое необходимо применять в качестве руководящего документа при подтверждении соответствия информационных и автоматизированных систем.

Также в эти годы активно проводилась работа по локализации международных стандартов (ISO\IEC) в области защиты информации. К сожалению, необязательность применения ГОСТ в России, а также фактические несоответствия практик управления информационными технологиями в России и в мире привели к тому, что многие из этих локализованных стандартов присутствуют исключительно для объема и используются только в качестве источников определений, впрочем, как правило, противоречивых.

Переломным моментов в развитии защиты информации в России можно считать 2006 год, разработку Федерального закона № 152-ФЗ «О персональных данных». Законы в России и раньше служили источником некоторых норм в области деятельности по защите информации (например, законы «О связи», «О техническом регулировании», «Об информации, информационных технологиях и защите информации»), которые, в отличие от стандартов и международных подходов, были обязательными для исполнения. Однако, закон «О персональных данных» стал первым законом, который был, во-первых, полностью посвящен вопросам защиты информации, во-вторых, был обязателен для исполнения практически всеми структурами в стране (в отличие от законов «О государственной тайне», «О коммерческой тайне» и некоторых отраслевых законах, обязательных для исполнения только госструктурами или представителями отраслей).

Рассуждения о законе «О персональных данных» - предмет отдельной статьи, да и не одной. Автор не претендует на уникальность своего мнения на счет данного закона, считавшегося резонансным, и причинившего и продолжающего причинять массу «неудобств» многим юридическим лицам по всей стране. Стоит только отметить, что в ходе трехлетнего фактического опыта (с момента первой попытки ввести проверки на соответствие закону в конце 2009 года) применения данного закона, у ИТ-специалистов и специалистов в области безопасности накопился обширный перечень «проблем» и «несоответствий» положений данного закона с практикой, логикой и здравым смыслом. Несколько таких несоответствий также можно рассматривать в качестве предпосылок (или наоборот, признаков, сигналов) смещения приоритетов и направления развития науки информационной безопасности, поэтому будут описаны в данной статье ниже.

Приоритетным направлением современной информатизации можно считать автоматизацию технологических процессов, т.е. фактически введение элементов информационных технологий в процессы, выполняемые людьми или контролируемые людьми (производство, добыча полезных ископаемых и т. д.). Это можно считать очередным витком индустриализации, по сути – первым значимым изменением с момента отмены (или правильнее сказать – минимизации) ручного труда на производстве. Если в первом случае непосредственный труд производства перекладывался с людей на машины, управляемые людьми (станки, заводские роботы и т. д.), то в текущий момент происходит процесс перекладывания определенных элементов контроля и управления на автоматизированные системы, в том числе, в части принятия решений. Это не значит, что человек полностью исключается из технологического процесса, это значит, что он переходит на более высокий уровень управления, что требует существенного повышения квалификации. Функции, выполняемые ИС по отношению к основной деятельности, то есть производственному процессу, представляют собой информационную услугу, по сути представляемую ИТ-подразделением функциональному подразделению. И если говорить о целевых свойствах информации, то в данном вопросе определяющее значение имеют уже не столько конфиденциальность, сколько целостность и доступность.

В нашей стране данный подход рассматривается уже в контексте международных практик управления информационными технологиями и контроля (прим. – здесь следует учитывать, что слово «control» в английском языке имеет значение управления и наблюдения, в то время как его смысл в русском языке более узкий). Управленческие технологии в области ИТ, пришедшие в Россию, не поддаются счету, в их числе популярные нынче риск-менеджмент и управление лицензиями (активами). И, по аналогии с мировыми тенденциями развития, определяющими в данной деятельности становятся целевые свойства целостности информации (служебных данных, обрабатываемых в ИС), а также доступность информации (которая является ключевым свойством для ИС, предоставляющих информационные услуги).

Анализ причин смещения приоритетных целевых свойств безопасности информации

Автором был проанализирован переход в мировой, а затем и в российской информационно-технологической (ИТ) практике от приоритетного обеспечения конфиденциальности к обеспечению других свойств информации, прежде всего, целостность и доступности информационных ресурсов АС. Выявленные причины приведены ниже и пронумерованы от 1 до 4.

1.       Ценность свойств информации рассматривается, прежде всего, в контексте системы ценностей ее владельца. Конфиденциальность, целостность и доступность информации «сама по себе» не имеет значения. Владелец воспринимает ценность данных свойств, пропуская их через призму своего собственного, «естественного» риск-менеджмента, который зависит от целей обработки информации. Исторически, главной «опасностью» обработки информации был тот факт, что она может стать доступной лицам, которым она не предназначена. Со временем, при наличии факторов, описанных ниже, «опасность» изменилась – изменился и приоритет.

2.       Информация «сама себе» также не имеет ценности. Она имеет ценность в контексте ее использования. Если изначально в мире и, особенно в России, информация использовалась в интересах госструктур, то на сегодняшний момент информация является одним из ключевых активов бизнеса. В свою очередь, приоритет использования информационных активов бизнесов состоит в том, чтобы сделать информацию максимально доступной и правдоподобной.

3.       Концепция разграничения доступа в ИС, пришедшая из систем типа UNIX, до сих пор предполагает наличие пользователей привилегированного уровня, права которых урезать либо невозможно, либо технически сложно и неоправданно. В результате, информация так или иначе может быть похищена через пользователей системы различного уровня. Истинная задача создания закрытых систем, обрабатывающих информацию ограниченного доступа, в том, чтобы сделать хищение информации невыгодным, в том числе с правовой точки зрения. Если пользователей, которые реально могут похитить и разгласить большой объем критически важных данных, немного, то расследование и наказание не заставит себя ждать. Таким образом, разглашение информации – ситуация технически более реализуемая, а потому – не такая уж и непредвиденная. А вот уничтожение или искажение может иметь более критические последствия.

4.       Фактически на сегодняшний момент защита от разглашения и утечки информации реализуется через работу с персоналом, то есть через устранение человеческого фактора. В то время как защита от уничтожения и искажения информации, а также от нарушения доступа к информации – задача по большей части исключительно техническая и решается в более крупных масштабах.

Выводы

В результате анализа можно сделать вывод, что смещение приоритетов является закономерным следствием перехода информации их разряда секрета и тайны в разряд важного производственного актива. При этом нельзя сказать, что обеспечение конфиденциальности утратило свою значимость. Скорее обеспечение других свойств безопасности информации приобрело дополнительную ценность и осуществляется в большей степени в рамках управленческих технологий. В следующей части статьи будет рассмотрено, как эти изменения отражены в основных концептуальных документах в области ИТ-управления, таких как CObIT, ITIL, PMBoK и т. д.

Управление программными активами, или лучше поздно, чем нигде

"- Ты ничего не понимаешь! Это последний писк моды!

- Странная тетка, эта ваша мода. Каждую неделю издает последний писк

и никак не сдохнет!"

Когда-то несколько лет назад автору материала пришлось столкнуться с таким модным ныне понятием как Software Assets Management (SAM). Перевод этого хитрого словосочетания на русский язык - предмет отдельных священных войн, распространенным вариантом является Управление программными активами. Изучался в ту пору стандарт ИСО 19770 аж целого 2006-го года, изучался и благополучно забылся по итогам изучения. И вот, год 2012 от Рождества Христова - на арену российской ИТ действительности выплывает SAM и отчаянные попытки ИТ и не очень ИТ организаций привести свою систему управления ПО в соответствие с этой методологией, организовать мир, дружбу и коммунизм. Весьма недурно это все описано, к примеру, здесь. Но все же большинство тех, кто гонится за SAM, делают это, очевидно, из чувства долга, стадного или еще какого-нибудь нехорошего чувства, а не ради дела. Почему? - стоит рассмотреть подробнее.

Во-первых, согласно стандарту и общепринятому мировому подходу, основная цель SAM состоит в организации управления ПО в организации таким образом, чтобы оно обеспечивало непрерывность ИТ деятельности, эффективность и - что особенно важно - ее законность. И если непрерывность ИТ деятельности реализуется за счет грамотной инвентаризации программных активов и доступности их эталонных образцов, а также за счет регламентированных процедур развертывания и использования, то законность реализуется через учет и предоставление по требованию лицензий, разрешений и иных признаков того, что ПО используется в организации на законных основаниях. В России, - и этот факт сложно оспорить - в настоящий момент это достаточно непривычная и странная цель. Немногие искренне хотят ее достижения, а организация SAM без нее бессмысленна.

Во-вторых, те же лицензионные ограничения могут стать проблемой для эффективного управления программными активами в основной деятельности. К примеру, создание мастер-копий и (или) эталонных экземпляров является копированием ПО, а это может быть запрещено условиями лицензии, в то время как резервирование - один из основных инструментов обеспечения непрерывности в SAM.

В-третьих, как это уже стало нормой в России, соответствие тем или иным стандартам и системам критериев воспринимается как декларация собственной непогрешимости. Следует помнить, что SAM - это всего лишь подход к эффективному управлению ИТ активами (существует также ITAM, Configuration Management ITSM и другие интересные методики организации, удовлетворяющие потребности грамотного управления ПО и АО в организации), а сертификация по SAM - не более чем способ подтвердить, что некая - пусть и немаловажная - часть ИТ деятельности в организации выполняется хорошо, с учетом мировых практик.

В России существовала и существует по сей день достаточно развитая система организации фондов алгоритмов и программ, поэтому было бы более реальным проводить реорганизацию данных подразделений с учетом требований SAM, а не пытаться построить этот "рай" на пустом месте.

Проблема предмета, контекста и нюансов, или немного о сценариях риска

Дело был не так давно, когда автор сего озадачил себя разработкой достаточно понятной и идеалистически верной презентации по управлению рисками. Собственно, о рисках даже в этой ленте было уже сказано достаточно, да и вообще тема эта любима среди специалистов по безопасности, так что найти соответствующий материал в сети совсем не сложно. Но один взгляд показался достаточно интересным.
Речь пойдет о сценарно-ориентированном подходе (вольный перевод термина scenario-based risk-management). Один из наиболее полных и значимых методов, основанных на этом подходе, представлен в методологии компании ISACA (isaca.org) Risk IT Practioner's Guide.
Данный подход старается разрешить крайне распространенную среди аналитиков коллизию "риск-рисковое событие", которая заключается в том, что риск воспринимается как событие, хотя классическая трактовка риска - это состояние, характеризуемое наличием возможности нанесения ущерба (что включает в себя сразу несколько понятий: ущерб, вероятность реализации ущерба, угроза - так называемые факторы риска). Рисковое событие в таком случае должно рассматриваться как ситуация реализации риска. К сожалению, подобный подход многим представляется крайне сложным, поэтому многие методические документы по управлению рисками допускают подобную путаницу (например, ISO 31000 или COSO).
Risk IT Practioner's Guide предлагает использование в качестве характеристики риска, по сути своей, заменяющей рисковое событие (хотя, не отрицающей его), сценарий риска (или сценарий реализации риска). Под сценарием риска понимается совокупность событий, обстоятельств и действий, описывающих реализацию риска. То есть, строго говоря, сценарий риска - это набор рисковых событий, минимально достаточный для нанесения ущерба. На основе анализа сценариев, частоты их возникновения и значимости, формируется карта риска (risk map), которая наглядно определяет подверженность актива риску, потребности защиты (контроля) и иные эпические характеристики.
На этапе работы с подобной философией - иначе ее назвать язык не поворачивается - автор столкнулся с интересным материалом, который весьма доходчиво объясняет, что такое сценарий риска в современном, обывательском понимании (а ведь обывательское понимание технических сущностей является неотъемлемым условием правильного понимания руководством!!!).
Итак, гласит этот материал, представьте себе автомобильную покрышку. Она существует. Это сценарий риска? Возможно, хотя верится с трудом, но притянуть за уши риск, который может быть связан с данной ситуацией, можно.
Теперь представьте, что покрышка висит на веревке. Уже более рисковая ситуация, которая предполагает различные сценарии в данных обстоятельствах. Покрышка висит на веревке, привязанной к ветке дерева (народный американский метод формирования качелей во дворе - прим.). Покрышка висит на веревке, привязанной к ветке дерева, стоящего на краю обрыва. Покрышка висит на веревке, привязанной к ветке дерева, стоящего на краю обрыва, и веревка рвется. И так далее. Мысль ясна?
Данная трактовка напоминает старый неприличный анекдот про нюанс, однако, именно так наиболее верно воспринимается риск как состояние окружающей среды, достаточное для нанесения ущерба по тем или иным сценарием. Именно с учетом обстоятельств, которые эту среду формируют.
Следует заметить, что в данном методологическом материале также игнорируется вторая составляющая определения риска - понятие вероятности. Дело в том, что вероятность сама по себе является величиной прогнозной, то есть ориентированной на будущее. В то время, как опирается она на статистические данные о прошлом. Что в деле безопасности может сыграть злую шутку. В данном случае в качестве частотной характеристики выступает частота возникновения сценария риска (frequency), которая по крайней мере не предъявляет претензий к экстрасенсорным способностям эксперта, а позволяет сделать объективный вывод о риске пост-фактум.
В общем, рекомендуется ознакомиться с настоящим материалом, на мой взгляд, интересным с точки зрения классической теории управления рисками, и сделать свои выводы.

Страхование рисков информационной безопасности. Подводные камни, айсберги и топи

Не так давно в публикациях стали осторожно появляться разговоры о страховании рисков ИБ на уровне регуляторов. Действительно, страхование - один из самых действенных и применимых методов переноса рисков (если кто забыл, это один из способов обработки риска в рамках анализа), хотя бы потому, что включает в себя анализ детального измерения уровня рисков и расчета экономических показателей. Почему бы не применять этот уже давно отточенный и проработанный механизм на информационной безопасности, где может пригодиться подобное регулирование взаимоотношений между владельцем информации и субъектом, ее обрабатывающим и, как правило, подвергающим риску? В данном направлении видится ряд проблем.
Во-первых, под вопрос ставится результативность самого страхования рисков ИБ. Насколько ясно из первичных источников информации по этому вопросу, страхованием планируется снять часть нагрузки на регулирующие органы в части контроля рисков ИБ в организациях, уполномоченных на обработку конфиденциальной информации. Скажем, будучи оператором персональных данных, вы будете либо подвергаться частым проверкам Роскомнадзора, подтверждающим, что вы - годный оператор, либо застрахуете свои риски в страховой компании и, в случае реализации риска, получите существенное увеличение страховых взносов и снижение рейтинга доверия. Видимо подразумевается, что страх перед выплатами, равно как и страх перед проверкой регулятора, будет способствовать обеспечению со стороны оператора высокой степени ответственности и адекватного уровня защищенности. Однако, знак равенства между двумя данными воздействиями поставить вряд ли можно, и вот почему.
Представьте, что вам 5 лет и вам категорически запрещено кататься на велосипеде. Есть два пути контроля, первый - мама каждые пять минут будет смотреть, не катаетесь ли вы, - второй - за вами никто не следит, но если вы сядете на велосипед и покатитесь, папа надает вам по ушам. Какой метод будет более действенным? Большинство скажет, что второй, однако, это же большинство не учитывает, что цель - не поймать вас "на горячем", а предотвратить совершение нарушения.
Иными словами, контроль регулятора, пусть и периодический, представляется более превентивным методом обеспечения доверия. Хотя бы потому, что санкция за ненадлежащее выполнение обязательств наиболее вероятно наступает до того, как это ненадлежащее выполнение приведет к ущербу.
Во-вторых, само понятие доверия к информационной системе, сертифицированной, лицензированной или задекларировавшей соответствие тем или иным образом в любом случае остается вопросом исключительно психологическим. Никакие сертификаты и результаты проверок не приведут к повышению уверенности в безопасности информации, обрабатываемой в системе, однако, они хотя бы будут периодическим доказательством работоспособности самой системы. С этой точки зрения ожидание гипотетических санкций по отношению к обработчику не будет так, если можно так выразиться, "успокаивать" владельца информации, как периодическое стабильное подтверждение того, что обработчик "делает все возможное и необходимое".
В-третьих, на данный момент крайне слабо представляется сама структура страхования рисков ИБ. На сегодняшний момент предполагается направить все компетенции регуляторов, выполняющих проверки, на аналитическую работу по оценке рисков в интересах страховщиков, которые будут принимать на себя риски операторов ПД. В этом случае создается ощущение, что будет что-то вроде "старой песни на новый лад", когда те же лица будут выполнять ту же работу, только под эгидой другой организации. И с гораздо меньшей периодичностью. Что, как уже говорилось выше, влечет за собой остальные проблемы.
Подводя итог, хочется сказать, что страхование рисков ИБ, несомненно, должно быть в арсенале регуляторов, для того, чтобы сбалансировать нагрузку на проверяющих и исключить неадекватность оценки, выполняемой, например. конкурентами или заинтересованными сторонами. Однако, на сегодняшний момент слишком рано говорить о том, что страхование сможет заменить проверки регуляторов или усилить доверие к процессам обеспечения информационной безопасности в межотраслевом секторе. На этот счет хотелось бы услышать комментарии профессионалов и мнения заинтересованных сторон.

Третья мировая война или много третьих мировых битв?

(Примечание: статья была написана в декабре 2009го года)

Вот и подходит к концу первое десятилетие двадцать первого века. Что человечество обрело за эти годы и чего лишилось? Впрочем, решать этот вопрос – задача философов и теоретиков. Мы же, как истинные информатизаторы, взглянем на мир через призму глобального информационного пространства.

Прошедший век был богат на вооруженные конфликты. Попросту говоря, войны. Две Мировые войны, унесшие миллионы жизней, уничтожившие целые культуры. Множество локальных конфликтов. Все это воспитало в людях страх. Страх неоправданных бесполезных и беспощадных смертей, порождаемых подобными событиями, несомненно, губительными для мира, пятном на истории человечества. Чего же ждало человечество в преддверии нового века и тысячелетия – ровно десять лет назад. Много чего, и одно из этого многого – Третья Мировая война.

Конечно, наивно предполагать, что войны, как пережиток дикости и бескультурья человечества, остались за рубежом миллениумов. Еще более наивно предполагать, что «демократия и дипломатия нас спасут», а вооруженные столкновения – прерогатива людей каменного века. Но, в эпоху глобальной информатизации, повального засилья информационных технологий на всех уровнях управления жизнью, стоит задуматься – не станет ли Третья, Четвертая и N-ая Мировые войны информационными? Говоря об информационных войнах и атаках, взглянем на эту проблему более узко, чем обычно. Отбросим социальную инженерию и психологические эффекты информационных воздействий, взглянем на техническую сторону вопросу. Иначе говоря, на кибервойны.

Летом 2009 года правительство США во главе с Президентом Бараком Обамой провело дебаты, на которых в том числе обсуждалась проблема кибертерроризма, киберпреступности и кибервойны. Вообще использование слов с приставкой «кибер-» в сознании большинства отечественных обывателей вызывает четкую аллюзию на фантастические фильмы 80-90х гг., в которых персонажи – роботы с человеческими мозгами. Восстание машин, Терминаторы и многие другие представители славного разумного компьютерного братства. К счастью, сейчас компьютерный «интеллект» целиком и полностью зависит от человека, его создавшего и, главное, контролирующего. Однако, оружие также никого не убивает. Убивает человек, который его использует.

Существует большое количество специалистов в области ИТ, и еще большее количество политиков и публичных личностей, открыто заявляющих о надуманности проблемы кибертерроризма, приводя в пример мизерность (по их собственным оценкам) потерь и высокий технологический уровень организации самих кибератак. Не вступая в полемику относительно справедливости отнесения кибервойн к разряду разрушительных социальных явлений, стоящих наравне с войной обыкновенной, приведем в хронологической последовательности некоторые факты и события 2009го года, касающиеся этой проблемы.

В январе группой исламских хакеров был проведен ряд атак на самые важные сайты Израиля. По некоторым данным, была приостановлена деятельность более 10 000 израильских сайтов, среди которых были государственные ресурсы, такие как сайт министра обороны Израиля. Следует отметить, что даже сайты НАТО и армии США были взломаны с целью дефейса, то есть изменения внешнего вида сайтов. На сайты были нанесены надписи в поддержку исламской стороны в данном конфликте. Таким образом, данная акция была ответом на вторжение израильской бронетехники на территорию Сектора Газа. Впрочем, сторонники Израиля в ответ на это развернули массовый призыв к атакам на исламские домены, и даже предоставили всем желающим необходимые инструменты.

В феврале одновременно несколько стран признали собственное вовлечение в мировую кибервойну. Германия заявила о создании специального подразделения для борьбы с кибератаками, поводом для которого стали регулярные на бюро Ангелы Меркель. Предполагается, что кроме защиты от кибератак, подразделение будет также идентифицировать и уничтожать некоторые компьютерные сети. Сербские хакеры, в честь «годовщины» независимости Косово, взломали официальный сайт премьер-министра бывшей сербской автономии. Наконец, группой международных независимых экспертов Центра по стратегическим и международным исследованиям был подготовлен доклад, в котором прозвучали заявления относительного того, что «кибервойна уже началась», а также что самая компьютеризированная страна мира – США – в этой войне проигрывает.

В марте Министерство Обороны Эстонии официально обвинило Россию в организации в 2007 году кибератак на сайты правительственных учреждений. Об этом было заявлено на пресс-конфереции представителем Минобороны Эстонии, в ответ на заявление депутата Госдумы РФ, что его помощник совершил данную атаку «случайно, из чувства мести», в ответ на перенос Бронзового солдата. Через несколько дней известная общественно-политическая организация «Наши» призналась в организации этих атак. Результатом стало требование с эстонской стороны о выдаче этих хакеров эстонскому правосудию.

В апреле ведущие ИТ специалисты НАТО собрались на военной базе в Эстонии, чтобы разработать новейшие средства защиты от хакерских атак. В качестве прогноза было высказано устоявшееся в правительственных кругах мнение, что Китай и Россия представляют наибольшую опасность в плане кибератак, а также серьезное опасение по поводу пострадавшей от кризиса экономики Великобритании, которая может подвергнуться своеобразному «контрольному выстрелу» через кибератаку на международные биржи и банки.

Май этого года ознаменовался громкими заявлениями и действиями Пентагона. Официально было заявлено о формировании наступательного подразделения кибервойск в США, которое будет наделено полномочиями, не только предотвращать атаки на государственные объекты страны, но и выполнять наступательные действия, что является некоторым отклонением от международной практики. Также международные эксперты заявили о начале гонки ИТ вооружения, которое может применяться для защиты от кибератак. США принимает в этой гонке самое непосредственное участие.

В августе система защиты от атак К-5, начатая в апреле на эстонской военной базе НАТО, была успешно завершена и признана самой надежной из ныне существующих. Как ни странно, в качестве причины формирования такой серьезной системы защиты, которую Эстония теперь предлагает для поставки в страны ЕС, разработчики называют хакерскую атаку 2007 года. Таким образом, благодаря взаимодействию российский ИТ специалистов и политических сил, Эстония стала самой киберзащищенной страной.

В октябре Администрацией Президента США дан официальный старт программе формирования киберподразделений Армии США, в который войдут ИТ-аналитики, инженеры и многие гражданские и военные специалисты в области компьютерных технологий. Следует также отметить, что в качестве ответа на наиболее серьезные атаки, киберподразделение оставляет за собой право «ассиметричного ответа» нападающему, в виде вполне реального огневого удара. Также в октябре отметилась резкая активизация российских хакеров, атакующих государственные стратегические ИТ объекты Западной Европы и США. По заявлению американских аналитиков, Китай также готовится к ведению кибервойны.

Наконец, в декабре этого года Россия, США и ООН приступили к обсуждению вопросов ИТ безопасности в информационной среде, прежде всего в Интернете. Цель данного обсуждения – установка четких границ использования виртуальной среды для военных целей. Однако, некоторыми аналитиками высказывается мнение, что таким образом Москва и Вашингтон устанавливают цивилизованные правила ведения кибервойны.

Таким был уходящий год в сфере информационных войн. Конечно, в этой среде есть еще много, что хотелось бы сказать, и кибератаки – далеко не главный бич человечества, проводящего большую часть жизни за компьютером. Однако, стоит задуматься, что это давно уже не слухи, не домысли и даже не сплетни. А обычная реальность.

Новостная информация подготовлена по материалам сайта www.securitylab.ru.

Об информационной безопасности кратко и по делу (стенограмма выступления перед студентами 1-го курса специальности "Экономическая безопасность")

Когда меня просят рассказать о безопасности, я первое время пребываю в затруднении. Не потому, что не понимаю чего-то, или понимаю настолько хорошо, что не в состоянии объяснить остальным людям, а потому, что существует большая разница между теоретической наукой и практическим применением.
Завтра мне нужно будет рассказать о своей работе и безопасности вообще студентам первого курса экономического факультета, которым с этой самой безопасностью придется иметь дело довольно опосредованно, по крайней мере, информационной. Однако, моя задача - именно рассказать. Сформировать правильное восприятие, возможно, заинтересовать. Привожу приблизительную стенограмму своего доклада-рассказа-выступления.
Прежде всего, стоит сказать сразу - я не компьютерщик! Я, несомненно, разбираюсь в компьютерной технике и программной среде, антивирусах, вордах и всем остальном, имею опыт работы с программами, даже умею их писать, даже достаточно прилично, для человека, не зарабатывающего этим свой основной доход. Но я не компьютерщик! Все эти знания являются практическим приложением, и не составляют основу науки обеспечения информационной безопасности.
Безопасность - это состояние объекта, при котором ему не грозит опасность. По сути, когда речь идет о информации, под ее безопасностью понимается состояние, в котором она не может быть уничтожена, похищена, модифицирована, ограничена от авторизованных лиц и т. п. Защита информации была всегда, и абсолютно не ограничивается исключительно компьютерной безопасностью, как это воспринимается большинством.
Обо всем по порядку. Необходимость защиты информации обусловлена тем, что информация, как объект материального мира, имеет крайне сложную природу и требует особого отношения. Если говорить о правовом аспекте, то крайне сложно отследить хищение информации, в отличии от, скажем, хищения сотового телефона или телевизора. При этом, наличие информации, в свою очередь, может дать преимущества, в первую очередь, финансовые, гораздо большие, чем те же сотовый телефон или телевизор. Поэтому защита информации есть задача высокого уровня приоритета. И люди понимали это всегда. Самые известные способы защиты информации - шифрограммы, тайнопись и прочее - были придуманы в глубокой древности, еще шумерами и египтянами. Собственно, поэтому за защитой информации и закрепилась прочная ассоциация с шифрованием. Свойство информации, обеспечиваемое методом шифрования, называется конфиденциальность. В современном мире защита информации не ограничивается только обеспечением конфиденциальности, есть еще такие свойства как доступность - возможность получения информации лицами, для которых она предназначена, - целостность, невозможность отказа от авторства и т. д. Все эти свойства информации обеспечивают ее безопасное состояние и способствуют, как минимум, снижению затрат, возможного ущерба и т. п.
Современная наука информационной безопасности черпает свои основы из приложений экономической теории, теории менеджмента (управления) рисков, теории процессов. Современная информационная безопасность реализуется в соответствии с процессами управления ПРПС (“Планирование - Реализация - Проверка - Совершенствование”), является по сути своей деятельностью скорее аналитической, чем технической. Техническая деятельность по защите информации - это скорее практика, практическое приложение науки, настолько разностороннее, что пытаться обобщить или как-то описать это множество практически нереально. В качестве примеров можно привести совершенно обыденные и привычные вещи, такие как антивирусная защита, защита сайтов от взломов, резервное копирование данных. Даже установка источников бесперебойного питания для компьютеров - это защита информации, если быть конкретным - обеспечение свойства доступности и, в некоторой степени, целостности.
Конкретно я, в рамках обеспечения информационной безопасности, занимаюсь именно высокоуровневыми мероприятиями в рамках управления информационной безопасностью, анализом, консультированием и обследованием. Применение каких-либо защитных мер - это следствие сделанных мной выводов, результаты проведенных обследований. Хотя ничто не мешает мне заняться реализацией каких-либо технических мер, как и любому разработчику, скажем, средства шифрования, ничто не мешает проанализировать объект защиты и принять решения относительно его защиты. В общем и целом это значит, что наука информационной безопасности имеет очень широкие и достаточно размытые границы. Разделить информационную, финансовую, техническую или даже личную безопасность крайне тяжело, да и делать это, наверное, не нужно. Факт, что природа вещей в мире приблизительно одинакова. Информационная безопасность - это один из способов использовать эту природу для весьма ограниченного числа объектов.

Концепция современной безопасности. Часть 1. Юмористическая

Последнее время все больше явлений природы говорят о том, что информация - страшная сила. Особенно в руках идиотов.
Тут и там раздаются крики о том, что мир стал зависим от информации, что мы жить не можем без компьютеров, и что с экранов этих самых компьютеров нас везде преследует "Большой брат" и "Мировое правительство". Или наоборот, что наш информационный мир - оплот безопасности и уюта. Тут и там люди говорят о вещах, о которых не имеют достаточных знаний, чтобы делать какие-то правильные или хотя бы приблизительно правильные выводы.
В общем, окружающие запутались сами в себе. Попробуем разобраться. Этот небольшой цикл статей посвящен концептуальным вопросам безопасности, в том числе и информационной, моему видению этих явлений в мире и моей же оценке. Консультант же.
________________________________________________
Пролог
Сразу после Нового года задумался о возможной в скором будущем замене мобильного телефона. Надо сказать, что с этим плодом цивилизации отношения у меня всегда были натянутые. Мой первый телефон прожил много лет и работал исправно, без нареканий, хотя был он марки, мягко говоря, непопулярной (называть не буду, не рекламный пост, а аналитический же!). На этом удача закончилась. Следующий купленный мною телефон "покруче" сломался через полгода, последующие "еще круче" ломались еще чаще, периодически чинились предыдущие "крутые" - и так в бесконечном цикле. Побывали в нем и элегантные слайдеры и серьезные коммуникаторы на Windows Mobile. Конец немного предсказуем - я пользуюсь телефоном, который чуть более, чем просто звонит, а еще имеет металлический корпус, который не дает мне его разбить. И вот хочется чего-то нового и долговременного.
Выбор пал на Blackberry (кто не знает и кому интересно - погуглите, повикипедьте, займитесь расширением кругозора, короче). Не то что бы я - крутой бизнесмен, который всегда на связи, но хороший Интернет, рабочая почта и сопутствующие бонусы меня бы порадовали. Итак, я, пока на уровне рекогносцировочных мероприятий, прошелся по магазинам и задал единственный вопрос: "Есть ли у вас Blackberry?". Почти везде мне сообщили, что было их немного, было это давно и неправда. Логично, если учесть, что на Западе эта фирма котируется в основном на корпоративном уровне, и поддерживается соответствующей инфраструктурой оператора сотовой связи. В России BIS (Blackberry Internet Service) - та самая инфраструктура, - появился недавно и пока не завоевал относительной популярности. Но один ответ запал мне в голову, и именно о нем пойдет речь - ведь никто же не думал, что я буду тут рассказывать о телефонах? Мы же о безопасности говорим, правда!

"Нет, и их наверное вообще скоро запретят в России потому, что у них крутая система безопасности, а ФСБ этого не любят"...

Вот такой ответ "диванного ИТ-эксперта" из салона сотовой связи я услышал, и он, признаться, меня повеселил. Итак, почему же это выглядит для меня такой глупостью?
Прежде всего - комплимент. Инфраструктура BIS в сочетании с архитектурой и встроенной системой безопасности телефонов Blackberry действительно всегда считалась примером для подражания. Недаром эти телефоны используют для представителей Администрации Белого Дома и ряда других правительственных учреждений США и Европы. Правда шифрованная почта и защищенный канал телефонных переговоров не страхуют от дурака и не отменяют простой человеческой необходимости стирать всю информацию перед сдачей телефона в утиль (кому интересно, погуглите что-то типа "blackberry сша правительство неотформатированные" и тому подобное, посмеетесь), но речь не об этом.
С, если я не ошибаюсь, 2010-го года в России медленно, но верно вводился - и к концу 2011-го был полностью введен сервис BIS, поддерживаемый теперь двумя операторами большой тройки - "БиЛайн" и "МТС". Теперь любой желающий может купить "ежевичку" по вполне адекватной цене и подключить сервис, поддерживающий корпоративный интернет, почту, защищенный канал и прочую красоту. Собственно, такова реальность. А дальше начинаются иллюзии!
Ни для кого не секрет, что многих людей беспокоит возможность прослушивать их телефонные переговоры, читать почту и вообще всячески ущемлять личную жизнь. Думаю, это весьма справедливый страх, особенно подогреваемый развитием информационных технологий в мире вообще. Скажу больше - это один из основных страхов, на основе которого Blackberry строит свою маркетинговую политику. Но весь фокус заключается, как всегда, в неправильной модели нарушителя. Или, говоря человеческим языком, надо знать, кого бояться.
Думаю, многие россияне, почитав про этот телефон в Интернете и пообщавшись с друзьями, "более сведущими в ИТ", решили, что это - настоящая панацея от "вездесущих спецслужб". Вообще стоит заметить, что рудиментарный советский страх быть "под колпаком" передается нам через поколения. Думаю, вообще это довольно объективная реальность, учитывая, что информационные технологии действительно занимают обширное место в нашей жизни, предоставляя море возможностей следить за нами с их помощью. Да и одно из главнейших лиц государства - полковник ФСБ. Тоже факт немаловажный =)
Однако, давайте будем реалистами. Согласно закону "О связи", операторы связи обязаны предоставлять информацию о переговорах и любых других коммуникациях любого абонента спецслужбам по запросу в рамках оперативно-розыскных мероприятий. То есть, если ФСБ или даже МВД затребует распечатку ваших смс-ок или ваших звонков, любой МТС-Билайно-Мегафон отдаст их, как миленький. Закон же. Так как же быть с шифрованием и защитой в Blackberry?
Прежде всего стоит сказать, что BIS никогда не заявлял, что защищает вашу личную жизнь от государства. В США, где информационный контроль общества гораздо жестче, чем у нас, никакое шифрование не спасет от АНБ, ЦРУ и ФБР, которые уполномочены на выполнение любых действий и на любой доступ к информации, касающейся государства. Blackberry так популярны в корпоративном секторе США потому, что защищают прежде всего от промышленного шпионажа, который в нашей стране редко реализуется посредством информационного воздействия (это не комплимент России, это следствие низкой информатизации бизнеса у нас). В России же, где до сих пор большинство жителей видит главного шпиона и врага в государстве, создалась иллюзия, что Blackberry защитит от "вездесущей" прослушки.
В реальности все гораздо проще. Первый фактор - уже упомянутый выше закон "О связи". Информация должна быть предоставлена в случае необходимости самим оператором, которому ваше шифрование до лампочки, ибо он эти услуги и поддерживает. Ну а второй фактор - сам факт введения сервиса BIS в России. Согласно ряду законов и подзаконных актов, оказание услуг в сфере информационной безопасности (а именно это понимается под шифрованием связи, пусть даже частным сервисом, а не Минкомсвязи) является лицензируемой деятельностью. И лицензию выдает - сюрприз-сюрприз! ФСБ. Которое, естественно, не будет создавать себе проблемы. Сам механизм мне пока не знаком, но я уверен, что либо сервис BIS использует в России сертифицированные алгоритмы и схемы, которые у нас уже научились ломать, либо само шифрование контролируется. В общем, как говорил еще Остап Бендер: "Не пытайтесь играть с государством в азартные игры - все равно обманет!".
Эпилог.
Телефон я решил пока не покупать. Повода нет, да и деньги пока есть куда деть. Столько праздников впереди. Так.. просто поделился с вами своими соображениями о том, как часть желаемое предстает в виде действительного, как умеют заблуждаться "простые русские люди", и как все на самом деле просто и непросто одновременно.